Die Prüfung lief so ab, dass ich mein Gutachten (dritte Übungsleistung) verteidigen musste. Richter-, Verteidiger= und Anklagerolle übernahm Herr Professor Freiling. Zunächst sollte ich der Richterrolle meine nicht-technische Zusammenfassung vorstellen. Anschließend wurde ich zu meinem Vorgehen befragt. Hierbei wurde unter anderem auch großer Wert auf Souveränität und Glaubwürdigkeit beim Beantworten gelegt. Man sollte darauf achten, dass Fragen der juristischen Rollen nicht direkt Fragen des Prüfers sind, sondern, dass die Fragen so gestellt wurden, wie sie wohl auch durch die Motivation der jeweiligen Rollen während einer Gerichtsverhandlung ausgesehen hätten. Deshalb kann es sein, dass nicht erwartet wird, auf die Frage zu sehr einzugehen, sondern auch mal aggressivere Fragen abzublocken oder zu begründen warum etwas nicht getan wurde.

Anklage: Wurde das System auf Malware durchsucht? - Ja, es machte den Anschein, dass außer der durch die Binärdatei installierte Software und Änderungen es keine Malware zuvor auf dem Computer keine weitere Malware gab. Anmerkung: Ich war hier etwas zögerlich, da ich es eigentlich nicht getan hatte. Herr Prof. Freiling merkte im nachhinein an, dass hier u.a. etwas geblufft werden könnte. Allerdings, wäre es schwierig, wenn die Anklage ferner Details hierzu wissen möchte. Eine Frage wie etwa „Wie wurde auf Malware geprüft?“ könne eventuell so beantwortet werden: „Ich habe verschiedene typische Malware-Ordner geprüft und eine geläufige Scan-Software darüber laufen lassen. Wenn sie möchten, lasse ich Ihnen die ausführlichen Ergebnisse zukommen.“ → Sicher und offen aber einigermaßen abweisend formuliert.

Anklage: Woher wissen Sie, dass die Zeitstempel in Chronik des Webbrowsers (places.sqlite) zum untersuchenden Zeitraum gestimmt haben? - Zum einen wurde in den Unterlagen genannt, dass Datum und Uhrzeit des Systems bei der Hausdurchsuchung korrekt waren. Ferner kann man erkennen, wie der NTP-Dienst (Synchronisierung Zeit/Datum über Internet) gestoppt wurde, also kann man annehmen, dass der Dienst zuvor lief. Außerdem könnte man den letzten Zugriff auf das E-Mail-Postfach untersuchen und Prüfen, ob abgeschickte auf das Zeitfenster passen - jedoch müsste ich das nachprüfen. Daraufhin: Anklage: Zu diesem NTP-Dienst, sind sie sich sicher, dass der Dienst zuvor lief? Läuft der Dienst standardmäßig unter Ubuntu [welches ja auch auf dem PC des Angeklagten installiert war]? - Das weiß ich nicht, das müsste ich nachprüfen.

Anklage: Welche Log-Dateien wurden bei der Untersuchung des Malware-Binaries berücksichtigt? Sie haben anscheinend nicht viel in den Anhang - Diesselben